隨著(zhù)軟件定義網(wǎng)絡(luò )的出現,有關(guān)應用交付控制器(ADC)的需求問(wèn)題也出現了。應用交付控制器(ADC)分布在一組Web服務(wù)器中,功能是保持這些服務(wù)器的負載均衡。軟件定義網(wǎng)絡(luò )(SDN)控制器是否可以接管應用交付控制器(ADC)的角色,成為有影響力的軟件定義網(wǎng)絡(luò )(SDN)負載均衡器,從而消除應用交付控制器(ADC)在網(wǎng)絡(luò )中的位置呢?
像應用交付控制器(ADC)一樣,軟件定義網(wǎng)絡(luò )(SDN)控制器可以基于隊列長(cháng)度和處理延遲來(lái)監控Web服務(wù)器的單個(gè)負載,并將收到的數據請求發(fā)送給負載最輕的服務(wù)器。如果簡(jiǎn)單的負載均衡是應用交付控制器(ADC)的唯一功能,那么軟件定義網(wǎng)絡(luò )(SDN)控制器真的可能將其淘汰掉。然而,應用交付控制器(ADC)可以做的不僅僅是分配服務(wù)器之間的應用需求。
在常規網(wǎng)絡(luò )中,數據流經(jīng)做路由決策的設備。因為應用交付控制器(ADC)直接位于數據流經(jīng)路徑中,它們可以實(shí)現某些特定的應用程序及軟件驅動(dòng)的功能,這些功能都不容易嫁接給軟件定義網(wǎng)絡(luò )(SDN)控制器。軟件定義網(wǎng)絡(luò )(SDN)將數據運動(dòng)和網(wǎng)絡(luò )控制功能分離開(kāi)來(lái),這就意味著(zhù)一個(gè)軟件定義網(wǎng)絡(luò )(SDN)控制器雖然可以基于服務(wù)器活動(dòng)進(jìn)行簡(jiǎn)單的負載均衡決策,但并不能基于數據本身的內容進(jìn)行決策。
應用交付控制器(ADC)一直以來(lái)都是獨立的網(wǎng)絡(luò )設備。行業(yè)領(lǐng)先的供應商已經(jīng)意識到到虛擬化系統的成長(cháng),以及軟件定義網(wǎng)絡(luò )(SDN)被越來(lái)越多人接受的現實(shí),于是開(kāi)發(fā)虛擬化應用交付控制器(ADC)來(lái)響應這一趨勢。這些應用交付控制器(ADC)廠(chǎng)商形成聯(lián)盟,將產(chǎn)品與虛擬網(wǎng)絡(luò )環(huán)境整合起來(lái),如來(lái)自思科,VMware和OpenStack的新產(chǎn)品。他們還增加了腳本驅動(dòng)功能,讓網(wǎng)絡(luò )管理員可以開(kāi)發(fā)應用交付控制器(ADC)可執行的特定應用程序功能。
網(wǎng)絡(luò )安全和監控
防火墻,防病毒掃描和入侵防御系統一直以來(lái)都存在于不同的設備中。應用交付控制器(ADC)存在于數據路徑中,而且它可以執行特定應用的腳本能力讓其成為掃描輸入數據,并確定其是否為惡意軟件的理想工具。省去各自獨立的安全組件降低了網(wǎng)絡(luò )復雜性和資金成本。
應用交付控制器(ADC)還可以通過(guò)阻擋有問(wèn)題的請求來(lái)保護服務(wù)器免受拒絕服務(wù)攻擊。一個(gè)大型的,分布式攻擊可能會(huì )消耗應用交付控制器(ADC)的資源,以致于許多合法的請求無(wú)法通過(guò),但是服務(wù)器可以支持他們收到的請求。
另外,由于應用交付控制器(ADC)的位置處于數據路徑中,所以非常適合收集性能和使用數據。他們可以監控服務(wù)器的延遲,也可以測量應用程序、終端用戶(hù)網(wǎng)絡(luò )或個(gè)人終端的流量。
應用交付控制器(ADC)如何提高網(wǎng)絡(luò )效率
除了平衡負載,應用交付控制器(ADC)還可以在其它方面改善網(wǎng)絡(luò )效率。在一個(gè)沒(méi)有應用交付控制器(ADC)的環(huán)境中,每個(gè)終端用戶(hù)的瀏覽器都會(huì )創(chuàng )建一個(gè)或多個(gè)傳輸控制協(xié)議(TCP, Transmission Control Protocol)連接到一個(gè)Web服務(wù)器。在終端用戶(hù)界面到因特網(wǎng)連接中使用網(wǎng)絡(luò )地址轉換(NAT, network address translation)可以減少連接的數量,但由于終端用戶(hù)數量多,大量的連接還是會(huì )給網(wǎng)站管理造成負擔。此外,每個(gè)請求都會(huì )創(chuàng )建一個(gè)傳輸控制協(xié)議(TCP)連接,是一個(gè)資源密集型操作。
使用傳輸控制協(xié)議(TCP)復用,應用交付控制器(ADC)建立與后端服務(wù)器的持久連接。個(gè)人瀏覽器或網(wǎng)絡(luò )地址轉換(NAT)功能創(chuàng )建連接到應用交付控制器(ADC),從Web服務(wù)器斷掉TCP連接管理,從而減少所需服務(wù)器的總數。
傳輸控制協(xié)議(TCP)慢啟動(dòng)算法可以防止網(wǎng)絡(luò )免受一個(gè)新的連接暴發(fā)而卡死。通過(guò)復用傳輸控制協(xié)議(TCP)連接,慢啟動(dòng)只發(fā)生一次。如果沒(méi)有一個(gè)應用交付控制器(ADC),每個(gè)瀏覽器到Web服務(wù)器的連接都需要經(jīng)歷慢啟動(dòng)過(guò)程。
如今基于Web的應用程序通常需要排一個(gè)很長(cháng)的請求和響應隊伍。當一個(gè)初始請求到達Web服務(wù)器(+微信關(guān)注網(wǎng)絡(luò )世界),服務(wù)器會(huì )在其中創(chuàng )建一個(gè)存儲請求信息的會(huì )話(huà)。簡(jiǎn)單的負載均衡可以直接傳送下一組請求到不同的服務(wù)器。當這個(gè)會(huì )話(huà)在初始服務(wù)器上超時(shí)并最終被刪除時(shí),第二個(gè)服務(wù)器創(chuàng )建另一個(gè)會(huì )話(huà)。這顯然是沒(méi)有效率的。應用交付控制器(ADC)維護正在進(jìn)行的交易信息,并確保每個(gè)后續請求可以定向到同一臺服務(wù)器。
這種技術(shù)被稱(chēng)為會(huì )話(huà)持久,專(zhuān)門(mén)用于支持安全套接字層(SSL)。有了會(huì )話(huà)持久和傳輸控制協(xié)議(TCP)復用,應用交付控制器(ADC)可以斷掉會(huì )話(huà)創(chuàng )建和握手,就像數據加密和解密一樣。如果沒(méi)有一個(gè)應用交付控制器(ADC),Web服務(wù)器將承擔這一負擔。如果沒(méi)有傳輸控制協(xié)議(TCP)復用,每次會(huì )話(huà)移動(dòng)到不同的服務(wù)器時(shí)就需要重復握手。
流量整形(Traffic shaping)是應用交付控制器(ADC)提高整體網(wǎng)絡(luò )和應用性能的另一種方式。傳輸控制協(xié)議(TCP)包含延遲,選擇確認信號(ACK, acknowledgement signals),自適應調整窗口大小以及顯式擁塞通知這些機制。應用交付控制器(ADC)使用這些技術(shù),通過(guò)減少脈沖串和將短分組整合成較大組來(lái)提高效率。
基于請求類(lèi)型來(lái)區分服務(wù)器可以通過(guò)簡(jiǎn)化應用軟件來(lái)提高可靠性。每個(gè)應用程序將處理一種類(lèi)型的請求。網(wǎng)絡(luò )管理員會(huì )提供應用交付控制器(ADC)腳本來(lái)掃描輸入數據,并指示每個(gè)請求到設計好的應用程序進(jìn)行處理。
應用交付控制器(ADC)廠(chǎng)商已經(jīng)準備好迎接軟件定義網(wǎng)絡(luò )
應用交付控制器(ADC)目前還是以預裝在硬件設備中的形式來(lái)出售,但領(lǐng)先的供應商,為了適應軟件定義網(wǎng)絡(luò )(SDN),還開(kāi)發(fā)了在虛擬化服務(wù)鏈中可以快速插入的虛擬單元。這些服務(wù)鏈,連同其它網(wǎng)絡(luò )功能虛擬化[注](NFV[注])組件,可以根據需求通過(guò)云自動(dòng)化系統移動(dòng)。
如果“軟件定義網(wǎng)絡(luò )”可以擴展,而不僅僅是通過(guò)OpenFlow連接到交換機的一個(gè)控制器,那么我們當然可以考慮虛擬化應用交付控制器(ADC),以增強的腳本作為組件融入軟件定義網(wǎng)絡(luò )(SDN)中。
